Après la cyberattaque contre TV5 Monde, la sécurité informatique des entreprises françaises pose question.
La cyberattaque contre TV5 Monde a été d’une ampleur inédite. Pendant un peu plus de trois heures, dans la nuit de mercredi à jeudi, les onze chaînes du groupe francophone ont été coupées après une attaque informatique revendiquée par des pirates se réclamant de l’Etat islamique. Jeudi, le gouvernement a affirmé craindre d’autres attaques contre les médias, tout en les appelant à la vigilance et à revoir leur niveau de protection informatique. Mais les entreprises et les administrations françaises sont-elles bien préparées face à ce risque ?
Une situation très variable. Premier constat : les opérateurs français ne bénéficient pas tous du même niveau de protection informatique. "C’est très variable, très hétérogène", juge Guillaume Poupard, le directeur de l'Agence nationale de la sécurité des systèmes d’information (ANSSI), interrogé vendredi matin sur Europe 1. "On a des domaines qui découvrent les menaces. A l’inverse on a certains domaines qui font de la sécurité depuis l’origine, et qui sont très robustes. Le but c’est de rattraper cette hétérogénéité de manière à élever significativement le niveau global de sécurité", ajoute Guillaume Poupard.
Les banques et les assurances en pointe, mais… Les entreprises les mieux préparées face au risque de cyberattaque sont les banques et les assurances. A la fin des années 1990, la loi les a obligées à se prémunir contre ces attaques informatiques. Mais le secteur bancaire n’est pas épargné pour autant, bien au contraire. "Les pirates informatiques rivalisent d'imagination pour s'infiltrer au cœur des systèmes informatiques des banques", soulignait ainsi les Echos en juillet dernier. Raymond Bunge, directeur des systèmes d’information des réseaux de banque de détail en France à la Société générale interrogé par le quotidien économique, révélait que le nombre d’attaques contres les établissements français a été multiplié par 12 entre 2011 et 2014.
Un problème de coût. Si les banques et les assurances ont réalisé des efforts pour lutter contre les attaques informatiques, les administrations publiques et les autres entreprises sont à la traîne. En effet, sans contrainte la plupart d’entre elles ne se sentent pas concernées, selon plusieurs experts en sécurité informatique interrogés par Europe 1. Autre frein : les entreprises rechignent à investir dans la protection informatique à cause de son coût.
Car pour s’assurer que tout ce qui doit rester confidentiel soit bien inaccessible, il faut parfois envisager deux ordinateurs par salarié : un connecté à internet et à l’extérieur, et un autre uniquement connecté au réseau interne. Mais la crise a fragilisé les entreprises dans le domaine de la sécurité. Il y a quelques années dans de nombreuses sociétés, la chaîne de production n’était pas connectée au même réseau que les employés : il y avait donc plusieurs systèmes distincts. Pour pirater, il fallait donc connaître les deux réseaux et leur architecture. Aujourd’hui, tout est connecté, exposant d’autant plus les entreprises aux cyberattaques.
Les lacunes de la formation des employés. Néanmoins, la première des sécurités réside dans la formation des salariés, qui sont souvent, à leur insu, à l’origine de la faille, par exemple en téléchargeant une mauvaise pièce jointe. Problème : très peu d’employés sont formés contre les risques de cyberattaque. Rien que parmi les écoles qui forment les ingénieurs en informatique, toutes ne proposent pas de module de sécurité. L’ENA, qui forme les futurs dirigeants, n’a mis des cours de cybersécurité au programme que depuis deux ans.
Le gouvernement veut accélérer le mouvement. Un service de l’Etat, baptisé l’ANSSI (Agence nationale de la sécurité des systèmes d’information), est chargé d’établir des recommandations de sécurité, de stopper les attaques et de rétablir les réseaux pour les entreprises dites "prioritaires" et les administrations publiques."Le but du jeu c’est de ne pas être trop dans la réaction. Il faut être dans la prévention, pour prévenir les attaques, et être en support des victimes le jour où une attaque se produit", précise Guillaume Poupard, le directeur de l'ANSSI. Ainsi, une dizaine d’agents de l’ANSSI ont été envoyés chez TV5 Monde juste après la cyberattaque.
Mais l’agence a du mal à imposer des investissements en matière de sécurité informatique aux entreprises ou aux administrations publiques. Du coup, le gouvernement cherche à accélérer le mouvement après l’attaque contre TV5 monde. La loi de programmation militaire a aussi permis d’identifier un peu plus de 200 opérateurs "d’importance vitale" qui vont se voir imposer des mesures de sécurité. Les entreprises concernées travaillent dans les secteurs clefs de l’énergie, l’alimentation, les transports, la communication ou encore l’audiovisuel, et comprend aussi bien des grands groupes comme EDF ou Thalès ou des petites PME sous-traitantes "d’importance stratégique". Mais la liste exacte de ces opérateurs "d’importance vitale" est classée secret défense. Preuve que la sécurité informatique est bien un sujet extrêmement sensible et vital pour les autorités.
Écoutez l'intégralité de l'interview de Guillaume Poupard, directeur de l'Agence Nationale de Sécurité des Systèmes de l’Information (ANSSI) :
>> LIRE AUSSI - Le piratage de TV5 Monde, une cyberattaque d'une ampleur inédite
>> LIRE AUSSI - TV5 Monde : qui sont les pirates du "CyberCaliphate" ?
>> LIRE AUSSI - Comment ont fait les hackers ?